DPIA w nowych technologiach – według PUODO i EROD

W wytycznych 17/PL WP 248 Europejska Rada Ochrony Danych wskazała kryteria ustalenia zasadności przeprowadzenia DPIA.

Gdy działalność administratora mierzy się co najmniej według dwóch z tych kryteriów, powinien on przygotować DPIA. Nie jest to jednak reguła.

Kryteriami tymi są:

1. dokonywanie oceny lub punktacji, w tym profilowanie oraz prognozowanie na podstawie danych osobowych (np. przedsiębiorstwo badające lokalizacje użytkowników aplikacji mobilnej w celu poznania preferencji zakupowych danej osoby),

2. automatyczne podejmowanie decyzji wywołujące względem osoby skutki prawne lub w inny sposób istotnie wpływające na osobę,

3. systematyczne monitorowanie osób,

4. zbieranie danych szczególnej kategorii,

5. przetwarzanie danych na dużą skalę,

6. dopasowywanie lub łączenie zbiorów danych w zakresie wykraczającym poza uzasadnione oczekiwania osób, których dane dotyczą,

7. przetwarzanie danych osób wymagających szczególnej opieki,

8. przetwarzanie danych przy użyciu nowoczesnych rozwiązań technologicznych lub organizacyjnych,

9. przetwarzanie w sposób, który uniemożliwia osobom, których te dane dotyczą, realizowanie swoich praw albo np. korzystanie z usług.

Mając na względzie przedstawione wytyczne, przeprowadzenie DPIA w przypadku stosowania nowych technologii może być konieczne w następujących przypadkach.

Pewne wnioski można wyprowadzić także z komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 8 lipca 2019 r. zawierającego wykaz rodzajów operacji przetwarzania danych osobowych wymagających DPIA.